Z jednej strony, podobnie jak robaki internetowe, mogą one szybko rozprzestrzeniać się przez sieć, pocztą elektroniczną, sieciami LAN, peer-to-peer, poszukując niezabezpieczonych komputerów. Z drugiej mogą posługiwać się metodami ataków typowymi dla koni trojańskich, takimi jak przejmowanie kontroli nad portami komunikacyjnymi udostępniające komputer hakerom.

Rozróżnia się dwa sposoby działania tych wirusów. Jeden to połączenie właściwości zarówno jednego, jak i drugiego typu w ciele pojedynczego wirusa, oraz drugi, mniej rozpowszechniony - współpraca wirusów różnego typu.

Zobacz również:

• Wykryto niebezpieczne złośliwe oprogramowanie na macOS

Pierwszym robakiem trojańskim (typu – "dwa w jednym") był W32/Bugbear, który rozprzestrzenił się na skalę epidemii pod koniec zeszłego roku. Robak ten podróżował pocztą elektroniczną, a po zainfekowaniu komputera podrzucał konia trojańskiego otwierającego port komunikacyjny.

W32/Opaserv jest przykładem tego drugiego podejścia, podobnie Lovgate instaluje się na komputerze i dopiero wtedy pobiera z Internetu inne pliki (m. in. konie trojańskie).

Skuteczna ochrona przed tego typu zagrożeniami musi uwzględniać blokadę na poziomie portów komunikacyjnych. Taką ochronę zapewniają zapory ogniowe, które potrafią wykryć i zablokować każdą potencjalnie niebezpieczną próbę komunikacji.

Mając to na uwadze twórcy oprogramowania antywirusowego włączają do swego oprogramowania również tę metodę walki z wirusami.